IGA(Identity Governance and Administration)란 무엇인가요?

IGA(Identity Governance and Administration, ID 거버넌스 및 관리)란 아이덴티티 관리 및 액세스 제어에 대한 정책 기반 접근법을 말합니다. 이름에서도 알 수 있듯이 IGA 시스템은 아이덴티티 거버넌스와 아이덴티티 관리를 병합하여 기존 IAM(Identity and Access Management) 툴을 능가하는 기능을 추가로 제공합니다. 특히 감사를 진행하고 컴플라이언스 요건을 충족하는 데 큰 역할을 합니다.

IGA 시스템은 사용자 프로비저닝/디프로비저닝 워크플로우를 자동화하는 데도 효과적입니다. 오늘날 사용자가 장소와 디바이스에 상관없이 로그인해야 하는 필요성이 증가하여 IAM 관리가 어려워지는 상황에서는 이러한 이점이 특히 중요합니다.

IGA가 사용자를 지원하는 방식과 조직에 대한 적합성을 알아보기에 앞서, 각 구성요소의 의미부터 살펴보겠습니다.

• 아이덴티티 거버넌스: 직무, 역할 관리, 로깅, 액세스 검토, 분석, 보고를 각각 관장하는 프로세스와 정책을 말합니다.
• 아이덴티티 관리: 계정 및 자격 증명 관리, 사용자 및 디바이스 프로비저닝/디프로비저닝, 권한 관리를 말합니다.

IGA 솔루션은 대부분의 기업에게 적합하지만 구현 과정이 까다롭고 시간도 오래 걸립니다. 이러한 이유로 먼저 IGA가 무엇인지 정확하게 알아둘 필요가 있습니다. 그럼 이제 시작하겠습니다.

IGA의 역사와 발전

IGA 솔루션은 투명성과 데이터 관리 개선을 요하는 사베인스 옥슬리법(SOX, Sarbanes-Oxley Act), 건강보험의 이전 및 책임에 관한 법률(HIPAA) 등 엄격한 데이터 규정과 함께 그 필요성이 대두되었습니다. 이러한 기업의 노력을 뒷받침하는 IGA 시스템은 아이덴티티와 액세스 권한에 대한 가시성을 넓히는 동시에 부적절한 리소스 액세스를 탐지하고 차단할 수 있는 제어 기능을 제공하도록 설계되었습니다.

IGA 보안은 2012년에 Gartner가 아이덴티티 관리 시장에서 성장 속도가 가장 빠른 분야로 선정하면서 주목받기 시작했습니다. 이후 2013년에 Gartner가 처음으로 기존 아이덴티티 거버넌스 카테고리와 아이덴티티 관리 카테고리를 병합하여 IGA 부문 Magic Quadrant를 발표하기 시작하면서 기업의 우선순위 영역으로 확고하게 자리잡았습니다. 

IGA 솔루션 구성요소

아이덴티티 거버넌스 솔루션과 아이덴티티 관리 솔루션은 사용자 아이덴티티의 라이프사이클을 관리하는 기업에게 유용합니다. 특히 IGA 솔루션은 다음과 같이 IAM 툴과 호환됩니다.

• 비밀번호 관리: 비밀번호 관리자나 SSO(Single Sign-On)와 같은 툴은 사용자가 여러 애플리케이션에서 취약한 비밀번호를 반복해서 사용하지 못하도록 함으로써 잠재적 침해로부터 기업을 보호합니다.
• 워크플로우 자동화: 사용자 온보딩/오프보딩, 액세스 수준에 따른 특정 역할 제공, 애플리케이션과 시스템에 대한 사용자 액세스 승인 등 다양한 프로세스의 워크플로우를 자동화할 수 있습니다.
• 권한 관리: 기업은 다양한 앱과 리소스에 대한 사용자 액세스를 손쉽게 검토하고 확인할 뿐만 아니라 사용자 및 애플리케이션 수준에서 액세스 권한을 자동으로 프로비저닝 및 디프로비저닝할 수 있습니다. 이 외에도 다양한 애플리케이션에서 사용자에게 허용되는 작업을 지정하여 확인하고 사용자 역할에 따라 액세스를 정의 및 관리할 수 있습니다.
• 포괄적인 보고를 통한 컴플라이언스 보장: 기업은 로깅, 보고 및 분석 기능을 통해 업계별 데이터 규정과 일반 데이터 규정을 계속 준수할 수 있습니다. 그 밖에 이러한 툴들은 잠재적 최적화 기회나 위험을 식별하는 데도 효과적입니다.
• 기업 확장: 아이덴티티 관리 정책을 중앙화하여 온프레미스 환경이든 클라우드 환경이든 상관없이 각종 애플리케이션에서 프로세스를 간소화할 수 있습니다. 이를 통해 소속 개발자들은 맞춤형 애플리케이션을 개선하여 잠재고객을 유기적으로 확장하는 등 자신의 업무에 최선을 다할 수 있습니다. 

위의 구성요소들이 함께 작용하여 아이덴티티 관리 방식을 개선합니다.

아이덴티티 거버넌스에 대한 잦은 오해와 진실

IGA가 강력한 IAM 솔루션의 핵심인 것은 분명한 사실이지만 아래와 같이 몇 가지 오해들도 존재합니다. 

1. IGA나 아이덴티티 관리 (IAM)나 다 똑같다

아닙니다. IGA와 IAM은 서로 관련이 있지만 똑같지는 않습니다. IGA는 아이덴티티 관리와 컴플라이언스 요건 충족, 그리고 컴플라이언스 보고를 위한 프로세스 감사를 지원한다는 점에서 표준 IAM 시스템을 능가합니다. 

2. IGA 솔루션은 온프레미스 (on-premise) 환경에서만 사용할 수 있다 

틀렸습니다. 많은 기술들이 그렇듯이 아이덴티티 거버넌스 솔루션 역시 처음에는 온프레미스 환경에 집중되었지만 이후 클라우드로 대부분 전환되었습니다. 예를 들어 액세스 인증, 액세스 요청, 비밀번호 관리, 프로비저닝 모두가 클라우드 기반 서비스로 제공됩니다.

3. IGA는 클라우드 애플리케이션을 관리할 수 없다

사실이 아닙니다. 최고의 IGA 솔루션은 다양한 연결 옵션을 제공하여 클라우드 리소스와 온프레미스 리소스를 통합할 수 있습니다. 모든 아이덴티티 거버넌스 기술이 도메인 전체를 아우르는데, 이는 클라우드 애플리케이션과 온프레미스 애플리케이션을 모두 관리할 수 있다는 것을 의미합니다.

4. 규정을 준수할 필요가 없는 기업은 IGA도 필요하지 않다

거짓입니다. 아이덴티티 거버넌스는 모든 보안 전략에서 중요한 역할을 합니다. 해커들이 사용자 자격 증명을 탈취할 기회를 호시탐탐 노리고 있기 때문에 위협 행위자가 기업 시스템에 액세스하지 못하도록 차단하는 것이 중요합니다. 기업은 규정 준수 여부에 상관없이 사용자 계정과 권한을 안전하게 보호하는 동시에 효과적인 액세스 제어 환경을 마련해야 합니다.

5. IGA는 규모가 큰 기업에만 적합하다

잘못되었습니다. 규모에 상관없이 어떤 기업이든 액세스 제어를 관리하는 동시에 안정적인 시스템 액세스 관리 프로세스를 마련해야 합니다. 확장을 통해 고객 기반을 넓이고자 하는 중소기업에게 IGA 프로세스 구현은 규모가 큰 기업에게 적용되는 규정을 선제적으로 준수하는 기회가 될 수 있습니다. 

IGA 솔루션의 이점 및 적용 대상 기업

IGA 솔루션을 구현하면 다음과 같은 몇 가지 이점이 있습니다. 

• 사용자가 원할 때 필요한 리소스에 액세스할 수 있습니다.
• 액세스 요청을 관리하고 위험을 감시할 수 있습니다.
• 자동화된 정책 시행을 통해 보안을 저해하지 않고 서비스 수준 요건을 충족할 수 있습니다.
• 엄격한 데이터 규정에서 명시하는 보안 및 개인정보 보호 요건에 따라 적합한 제어 환경이 마련되어 있는지 확인할 수 있습니다.

그렇다고 기업에게 IGA 솔루션이 굳이 필요할까요? 본능적으로 인력 규모에 따라 결정을 내려야 한다고 생각할 수 있지만 정작 필요 여부는 IT 팀에게 달려있습니다. 인증, 프로비저닝 및 디프로비저닝 요청을 얼마나 많이 받고 있습니까? 다른 업무에 집중하면서 동시에 모든 요청을 시간 내에 처리할 수 있습니까? 이러한 프로세스를 자동화한다면 과연 유익할까요?

IGA 솔루션은 역할에 따라 액세스 요청을 프로비저닝하는 워크플로우의 자동화를 통해 요청을 일괄적으로 승인할 수 있기 때문에 IT 팀에게 가중되는 부담을 덜어주는 효과가 있습니다. 또한 기업 규모와 상관없이 보안의 중요성을 살펴보고 잘못된 액세스와 보안 문제 간 공백에서 발생하는 데이터 침해 위험을 인지해야 합니다. 

IGA를 통한 비즈니스 강화

IGA 솔루션을 통해 기업은 위험을 완화하고, IAM(Identity Access Management)을 강화하며, 컴플라이언스 및 감사 결과를 개선함으로써 보안 접근법을 점검해 볼 수 있습니다. 또한 효율성과 생산성을 높일 뿐만 아니라 관리자 작업에 소요되는 시간을 최소화하고 노동 집약적인 작업을 자동화하여 비용을 절감하는 데도 효과적입니다.

IGA에 대한 자세한 내용은 아이덴티티 101 페이지를 참조하시기 바랍니다.